Free AI-powered Legal Search - Ask Any Question Georgian Law Database

Scroll to: Top Results

Explore Georgian Law by Asking a Legal Question

assisted-checkbox

filter-instruction-1

positive-filters

negative-filters

act-filter tabs-all

parameters-title

query

assisted-checkbox: ✅

result-title

total 4

ინფორმაციული უსაფრთხოების შესახებ

article 5

ინფორმაციული აქტივების მართვა.

1. კრიტიკული ინფორმაციული სისტემის სუბიექტი, ამ კანონის მე-4 მუხლის პირველი პუნქტით გათვალისწინებული შინასამსახურებრივი გამოყენების წესების შესაბამისად, ატარებს ინფორმაციული სისტემების ინვენტარიზაციას ყველა ინფორმაციული აქტივის აღრიცხვის მიზნით, რის შედეგადაც ყოველ ინფორმაციულ აქტივს მიენიჭება კრიტიკულობის შესაბამისი კლასი – კონფიდენციალური ან შინასამსახურებრივი გამოყენების. ყველა სხვა ინფორმაციული აქტივი, რომელთა კლასიფიცირება საჭირო არ არის, ღია ინფორმაციად ითვლება.

2. ინფორმაციული აქტივების აღრიცხვის შედეგად აღიწერება ყოველი ინფორმაციული აქტივის მნიშვნელობა, ფასეულობა, უსაფრთხოებისა და დაცვის არსებული დონე.

3. ინფორმაციული აქტივის შექმნის დროს კრიტიკულობის შესაბამის კლასს ადგენს აქტივის ავტორი ან/და აქტივზე პასუხისმგებელი პირი.

ინფორმაციული უსაფრთხოების შესახებ

article 5

4. კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული აქტივების მართვის წესები, კერძოდ, მათი აღწერის, კლასიფიცირების, ხელმისაწვდომობის, გაცემის (გამოქვეყნების), შეცვლისა და განადგურების წესები (გარდა იმ წესებისა, რომლებითაც საქართველოს ზოგადი ადმინისტრაციული კოდექსი საჯარო ინფორმაციის ხელმისაწვდომობას განსაზღვრავს), პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების მიმართ დგინდება ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − საქართველოს თავდაცვის მინისტრის ბრძანებით.

5. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკების მიმართ ინფორმაციული აქტივების მართვის დამატებით სტანდარტებსა და მოთხოვნებს ადგენს ეროვნული ბანკი.

ინფორმაციული უსაფრთხოების შესახებ

article 5

მუხლი 6. კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტი და ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტი 1. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია ჩაატაროს ინფორმაციული უსაფრთხოების პირველადი აუდიტი და პერიოდული აუდიტი − ინფორმაციული უსაფრთხოების მართვის სისტემის ინფორმაციული უსაფრთხოების მინიმალურ სტანდარტებთან შესაბამისობის შეფასება. ინფორმაციული უსაფრთხოების აუდიტის ჩატარების შემდეგ დგება აუდიტის დასკვნა, რომლის მოთხოვნების შესრულება სავალდებულოა. ინფორმაციული უსაფრთხოების აუდიტი სრულდება ინფორმაციული უსაფრთხოების აუდიტის დასკვნის შედგენით.

2. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების პირველად აუდიტს უსასყიდლოდ ატარებს ოპერატიულ-ტექნიკური სააგენტო. შემდგომ ინფორმაციული უსაფრთხოების პერიოდულ აუდიტს ამ სუბიექტის შერჩევით ატარებს ოპერატიულ-ტექნიკური სააგენტო ან ციფრული მმართველობის სააგენტოს მიერ ავტორიზებული ორგანიზაცია. ამ პუნქტით გათვალისწინებული აუდიტის ჩატარების მოთხოვნა არ ვრცელდება საგადახდო, ფასიანი ქაღალდების ანგარიშსწორებისა და რეზერვების მართვის სისტემებზე, აგრეთვე მონეტარული და სავალუტო ოპერაციებისთვის გამოყენებულ კრიტიკულ სისტემებზე.

3. მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების პირველად აუდიტსა და პერიოდულ აუდიტს ამ სუბიექტის შერჩევით ატარებს ოპერატიულ-ტექნიკური სააგენტო ან ციფრული მმართველობის სააგენტოს მიერ ავტორიზებული ორგანიზაცია.

4. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების პირველად აუდიტსა და პერიოდულ აუდიტს ამ სუბიექტის შერჩევით ატარებს ციფრული მმართველობის სააგენტო ან ამ სააგენტოს მიერ ავტორიზებული ორგანიზაცია.

5. თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების პირველად აუდიტსა და პერიოდულ აუდიტს ატარებს კიბერუსაფრთხოების ბიურო. საჭიროების შემთხვევაში ინფორმაციული უსაფრთხოების აუდიტი ტარდება საქართველოს თავდაცვის სამინისტროს სხვა შესაბამის სტრუქტურულ ქვედანაყოფებთან ერთად.

6. ინფორმაციული უსაფრთხოების აუდიტის ციფრული მმართველობის სააგენტოს მიერ ავტორიზებული ორგანიზაციის მიერ ჩატარების შემთხვევაში აღნიშნული აუდიტის დასკვნის 1 ეგზემპლარს კრიტიკული ინფორმაციული სისტემის სუბიექტი აუდიტის დასრულებისთანავე, ამ მუხლის მე-2 ან მე-3 პუნქტით გათვალისწინებულ შემთხვევაში უგზავნის ოპერატიულ-ტექნიკურ სააგენტოს, ხოლო ამ მუხლის მე-4 პუნქტით გათვალისწინებულ შემთხვევაში − ციფრული მმართველობის სააგენტოს, გარდა ამ მუხლის მე-13 პუნქტით გათვალისწინებული შემთხვევისა.

7. ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი და პერიოდულობა პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების მიმართ დგინდება ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტების მიმართ − ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტების მიმართ − საქართველოს თავდაცვის მინისტრის ბრძანებით.

8. ინფორმაციული უსაფრთხოების აუდიტის საფასური განისაზღვრება კრიტიკული ინფორმაციული სისტემის სუბიექტსა და ოპერატიულ-ტექნიკურ სააგენტოს, ციფრული მმართველობის სააგენტოს ან ციფრული მმართველობის სააგენტოს მიერ ავტორიზებულ ორგანიზაციას შორის გაფორმებული ხელშეკრულებით.

9. კრიტიკული ინფორმაციული სისტემის სუბიექტი ვალდებულია უზრუნველყოს ინფორმაციულ სისტემაში შეღწევადობის (პენეტრაციის) ტესტის (შემდგომ − პენეტრაციის ტესტი) ჩატარება წინასწარ დაგეგმილი და დოკუმენტირებული ამოცანის მიხედვით. პენეტრაციის ტესტის ჩატარების შემდეგ დგება პენეტრაციის ტესტის დასკვნა, რომლის მოთხოვნების შესრულება სავალდებულოა. პენეტრაციის ტესტი სრულდება პენეტრაციის ტესტის დასკვნის შედგენით.

10. პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის (გარდა საგადახდო, ფასიანი ქაღალდების ანგარიშსწორებისა და რეზერვების მართვის სისტემებისა, აგრეთვე მონეტარული და სავალუტო ოპერაციებისთვის გამოყენებული კრიტიკული სისტემებისა) სუბიექტის პენეტრაციის ტესტს ატარებს ოპერატიულ-ტექნიკური სააგენტო, მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის პენეტრაციის ტესტს − კრიტიკული ინფორმაციული სისტემის სუბიექტის შერჩევით − ოპერატიულ-ტექნიკური სააგენტო ან ციფრული მმართველობის სააგენტოს მიერ ავტორიზებული ორგანიზაცია, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის პენეტრაციის ტესტს − კრიტიკული ინფორმაციული სისტემის სუბიექტის შერჩევით − ციფრული მმართველობის სააგენტო ან ამ სააგენტოს მიერ ავტორიზებული ორგანიზაცია, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის პენეტრაციის ტესტს − კიბერუსაფრთხოების ბიურო.

11. ციფრული მმართველობის სააგენტოს მიერ ავტორიზებული ორგანიზაციის მიერ პენეტრაციის ტესტის მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტში ჩატარების შემთხვევაში პენეტრაციის ტესტის დასკვნის 1 ეგზემპლარს კრიტიკული ინფორმაციული სისტემის სუბიექტი ამ ტესტის დასრულებისთანავე უგზავნის ოპერატიულ-ტექნიკურ სააგენტოს, ხოლო ასეთი ორგანიზაციის მიერ პენეტრაციის ტესტის მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტში ჩატარების შემთხვევაში პენეტრაციის ტესტის დასკვნის 1 ეგზემპლარს კრიტიკული ინფორმაციული სისტემის სუბიექტი ამ ტესტის დასრულებისთანავე უგზავნის ციფრული მმართველობის სააგენტოს, გარდა ამ მუხლის მე-13 პუნქტით გათვალისწინებული შემთხვევისა.

12. პენეტრაციის ტესტის ჩატარების წესი და პერიოდულობა პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების მიმართ დგინდება ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანებით, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტის მიმართ − საქართველოს თავდაცვის მინისტრის ბრძანებით.

13. ციფრული მმართველობის სააგენტოს ან ციფრული მმართველობის სააგენტოს მიერ ავტორიზებული ორგანიზაციის (მათ შორის, ამ კანონის 6-1 მუხლის მე-4 პუნქტის შესაბამისად ავტორიზებული ორგანიზაციის) მიერ ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკში ჩატარების შემთხვევაში ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის დასკვნის 1 ეგზემპლარს მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკი ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის დასრულებისთანავე უგზავნის ეროვნულ ბანკს.

14. თუ ინფორმაციული უსაფრთხოების აუდიტის ჩატარების შედეგად გამოვლინდა ინფორმაციული უსაფრთხოების მართვის სისტემის ინფორმაციული უსაფრთხოების მინიმალურ მოთხოვნებთან შეუსაბამობა ან პენეტრაციის ტესტის ჩატარების შედეგად აღმოჩენილ იქნა ინფორმაციული სისტემის სისუსტეები, კრიტიკული ინფორმაციული სისტემის სუბიექტი ატარებს ამ შეუსაბამობის/სისუსტეების ანალიზს და აღნიშნული შეუსაბამობის/სისუსტეების აღმოსაფხვრელად განსაზღვრავს სამოქმედო გეგმას. ეს სამოქმედო გეგმა უნდა შეიცავდეს მისი შესრულების გრაფიკს. აღნიშნულ სამოქმედო გეგმას ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის დასრულებიდან 1 თვის ვადაში პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტები შესათანხმებლად წარუდგენენ ოპერატიულ-ტექნიკურ სააგენტოს, მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტები, გარდა ამ მუხლის მე-17 პუნქტით გათვალისწინებული შემთხვევისა, − ციფრული მმართველობის სააგენტოს, ხოლო თავდაცვის სფეროში შემავალი კრიტიკული ინფორმაციული სისტემის სუბიექტები − კიბერუსაფრთხოების ბიუროს. ოპერატიულ-ტექნიკური სააგენტო, ციფრული მმართველობის სააგენტო და კიბერუსაფრთხოების ბიურო საკუთარი კომპეტენციის ფარგლებში უზრუნველყოფენ წარდგენილი სამოქმედო გეგმის შეფასებას, შესაბამისი რეკომენდაციების ან/და შესასრულებლად სავალდებულო მითითებების შემუშავებას და შეთანხმებული სამოქმედო გეგმის შესრულების მონიტორინგს.

15. ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის ჩატარებისას ოპერატიულ-ტექნიკურ სააგენტოს, ციფრული მმართველობის სააგენტოს და კიბერუსაფრთხოების ბიუროს ხელი არ მიუწვდებათ იმ ინფორმაციაზე, რომელიც სცილდება ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის ჩატარების მიზნებს.

16. სახელმწიფო აუდიტის სამსახურის მიერ ინფორმაციული ტექნოლოგიების აუდიტის (მათ შორის, ინფორმაციული უსაფრთხოების აუდიტის) ჩატარების უფლებამოსილება, მისი საქმიანობის ორგანიზება და წესი განისაზღვრება „სახელმწიფო აუდიტის სამსახურის შესახებ“ საქართველოს ორგანული კანონით.

17. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკი ამ მუხლის მე-14 პუნქტით გათვალისწინებულ სამოქმედო გეგმას და მისი შესრულების გრაფიკს ინფორმაციული უსაფრთხოების აუდიტის ან პენეტრაციის ტესტის დასრულებიდან 1 თვის ვადაში შესათანხმებლად წარუდგენს ეროვნულ ბანკს. ეროვნული ბანკი უზრუნველყოფს მისთვის წარდგენილი სამოქმედო გეგმის შეფასებას, შესაბამისი რეკომენდაციების ან/და შესასრულებლად სავალდებულო მითითებების შემუშავებას და შეთანხმებული სამოქმედო გეგმის შესრულების მონიტორინგს.

18. ამ მუხლით გათვალისწინებული ინფორმაციული უსაფრთხოების აუდიტი ან პენეტრაციის ტესტი ტარდება კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების მენეჯერთან ან/და კომპიუტერული უსაფრთხოების სპეციალისტთან თანამშრომლობითა და კოორდინაციით.

ინფორმაციული უსაფრთხოების შესახებ

article 5

მუხლი 6-1. ავტორიზაცია ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის 1. ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების უფლება აქვს ორგანიზაციას, რომელსაც ციფრული მმართველობის სააგენტოში ციფრული მმართველობის სააგენტოს თავმჯდომარის ბრძანებით დადგენილი წესის შესაბამისად გავლილი აქვს ავტორიზაცია ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის. ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების უფლებამოსილების მქონე ორგანიზაციათა მიერ ავტორიზაციის გავლის საფასური დგინდება „საჯარო სამართლის იურიდიული პირის − ციფრული მმართველობის სააგენტოს შესახებ“ საქართველოს კანონის შესაბამისად.

2. ინფორმაციული უსაფრთხოების აუდიტი ან/და პენეტრაციის ტესტი შეიძლება ჩაატაროს პირმა, რომელსაც საქართველოს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით დადგენილი წესის შესაბამისად გავლილი აქვს უსაფრთხოებაზე შემოწმება.

3. ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზაცია, გარდა ამ მუხლის მე-4 პუნქტით გათვალისწინებული შემთხვევისა, შეიძლება გაიაროს ორგანიზაციამ:

ა) რომელიც აკმაყოფილებს სახელმწიფო უსაფრთხოების სამსახურის უფროსის ნორმატიული აქტით განსაზღვრულ უსაფრთხოების მოთხოვნებს;

ბ) რომლის ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების უფლებამოსილების მქონე თანამშრომელი აკმაყოფილებს ამ მუხლის მე-2 პუნქტით განსაზღვრულ მოთხოვნას.

4. მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტ კომერციულ ბანკში ინფორმაციული უსაფრთხოების აუდიტი ან/და პენეტრაციის ტესტი კომერციული ბანკის შერჩევით შეიძლება ჩაატარონ აგრეთვე კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებულმა ორგანიზაციებმა, რომელთა სიას კომერციული ბანკების მოთხოვნის საფუძველზე ციფრული მმართველობის სააგენტოს წარუდგენს ეროვნული ბანკი. ციფრული მმართველობის სააგენტო უზრუნველყოფს აღნიშნული ორგანიზაციების ავტორიზაციას კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებული ორგანიზაციების დამატებით სიაში რეგისტრაციით. კომერციულ ბანკებში ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარებისთვის ავტორიზებული ორგანიზაციების ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის ჩატარების უფლებამოსილების მქონე თანამშრომლების ამ მუხლის მე-2 პუნქტით დადგენილი წესის შესაბამისად უსაფრთხოებაზე შემოწმების მიზნით შემოწმების პროცესის ინიციირებას მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტი კომერციული ბანკის ინფორმაციული უსაფრთხოების აუდიტის ან/და პენეტრაციის ტესტის დაწყებამდე აღნიშნული კომერციული ბანკის შეტყობინების საფუძველზე უზრუნველყოფს ეროვნული ბანკი. ეროვნული ბანკი უზრუნველყოფს აგრეთვე ამ კომერციული ბანკისთვის უსაფრთხოებაზე შემოწმების შედეგების შესახებ ინფორმაციის მიწოდებას. საქართველოს 2021 წლის 10 ივნისის კანონი №632 – ვებგვერდი,15.06.2021წ.